Мошенничество с банковскими картами в Таиланде

6

Представьте, что после нескольких дней отпуска в Таиланде вы собираетесь снять наличность с банковской карты, но обнаруживаете, что деньги куда-то исчезли. И хорошо еще, если это дебетовая карта, и вы просто оказались «на нуле» за тысячи километров от дома, потому что если это кредитка, то вы к тому же задолжали банку с процентами.
– Так не бывает! – Воскликните вы.
Еще как бывает, поэтому мы пытаемся разобраться в деталях кардинга – мошенничества с банковскими картами – и, по возможности, обезопасить себя от него.

222

Банковская карта – это ключ к банковскому счету. На ней содержатся данные о счете и личности его владельца. Часть этих данных написана прямо на карте, другая – зашифрована на магнитной полосе или в чипе.

Внешние данные (написанные на карте) – это номер карты, имя-фамилия владельца, срок действия карты и проверочный код №2 (CVC2/CVV2* — цифры на полосе подписи). Этих данных достаточно, для того, чтобы рассчитываться с их помощью в интернете.

Внутренние данные (так называемый дамп) – это несколько дорожек (от 1 до 3), зашифрованных в чипе или магнитной полосе. В них содержатся те же внешние данные, а также проверочный код №1 (CVC/CVC или CVC1/CVV1) и некоторая техническая информация. Эти данные используются для проведения реальных платежей и снятия денег в банкоматах.
При использовании карты в банкоматах и некоторых платежных терминалах для подтверждения личности держателя карты требуется ввести PIN-код. Однако во многих расчетных точках для списания средств со счета не нужно даже предъявлять документы – достаточно просто иметь карту, похожую на настоящую.

* CVC (card verification code) / CVV (card verification value) – разные названия у MasterCard / Visa соответственно.
CVC1/CVV1 и CVC2/CVV2 – это два разных проверочных кода. Первый нужен для защиты от подделки карты и, чаще всего, не известен пользователю; второй используется для подтверждения дистанционных транзакций.

Кардинг – хорошо организованная международная преступная деятельность. Кардеры работают со всеми типами данных, относящихся к банковским картам: это и внешние данные, и дампы, и PIN-коды.

Скомпрометированные внешние данные используются в «сетевом кардинге», то есть, для оплаты товаров и услуг в интернете, а также при переводе средств с банковского счета на электронные кошельки. К злоумышленникам они попадают в результате взлома баз данных интернет-магазинов, «засвета» карточки или фишинга.

Реальный пример фишинга в скайпе:
[0:43:29] Mariya: Слушай, у тебя будет в долг денег до завтра?
[0:44:07] Vasiliy: сколько?
[0:44:26] Mariya: 5 тысяч нужно.
[0:44:33] Vasiliy: до завтра?
[0:44:43] Mariya: да, вечером верну.
[0:44:54] Vasiliy: давай реквизиты.
[0:45:21] Mariya: ты можешь написать номер карты и до какого действует, я сама себе переведу на Яндекс Деньги, тебе нужно будет только через телефон подтвердить и все.
[0:45:51] Vasiliy: нет. номер карты я тебе не скажу
[0:47:29] Mariya: Стой. Скайп взломали.
[0:47:38] Mariya: Не надо денег

Как обезопасить себя от потери «внешних данных» карты?
Прежде всего, не передавайте ее другим людям (даже если это ваши знакомые) и не упускайте карточку из вида при расчете. Если кто-то, в том числе и банковские служащие, просит вас сообщить полную информацию о карте, включая код подтверждения – не делайте этого. Также, в целях безопасности, рекомендуется совершать покупки только в крупных или проверенных интернет-магазинах.

Внимание! Чем раньше вы обратитесь в банк с заявлением о несанкционированной транзакции, тем больше вероятности, что вам вернут деньги. Чаще заходите в интернет банк или наладьте смс-оповещение о проведенных операциях.

Для покупок в интернете лучше всего завести специальную карточку с пустым счетом (либо виртуальную карту) и пополнять ее исключительно перед покупкой на нужную сумму.

Использование внешних данных банковских карт – наиболее простой уровень кардинга. А вот внутренними данными, чаще всего, занимаются уже серьезные ребята, вовлеченные в «физический кардинг».
Каким образом может произойти утечка зашифрованных данных, которые не знает даже картхолдер, и как они используются в преступных целях?

22

Внутренние данные (дамп) попадают к злоумышленникам разными путями. Например, путем копирования дампа с магнитной полосы кары с помощью ридера (cardreader) или скиммера (skimmer).
Ридеры – миниатюрные устройства для считывания – используются персоналом магазинов и ресторанов. Обычно копирование происходит незаметно для держателя карты, поэтому не упускайте вашу карту из вида.
Скиммеры – другой вид считывающих устройств, устанавливаемых на банкоматы. Толщина скиммера всего несколько миллиметров и заметить его крайне сложно, поскольку он располагается внутри картоприемника.

5

Физическое считывание дампа целесообразно для злоумышленника, если вместе с дампом компрометируется PIN-код (для этого на банкомат устанавливается накладная клавиатура или миниатюрная камера, а в точках оплаты применяется поддельные POS-терминалы).
Физическое считывание дампов без пина стало слишком затратным занятием после того, как в 90х годах кардингом заинтересовались русские, украинцы и белорусы. Поскольку в СНГ банковские карточки в то время не использовались, наши соотечественники взламывали базы данных западных процессинговых центров и продавали полученные оттуда дампы практически по оптовым ценам.

Внутренние данные чиповых карт нельзя скопировать с помощью скиммера, однако их внешние данные могут быть легко скомпрометированы и использованы в «сетевом кардинге». Кроме того, чиповые карты читаются далеко не во всех банкоматах и точках оплаты, поэтому чаще всего чип совмещается с магнитной полосой. Подобные комбинированные карты немного усложняют жизнь физическим кардерам, но не слишком.

Как можно использовать дампы без PIN-кода?
Дампы записываются на «чистую» карточку с помощью энкодера (encoder) – миниатюрного устройства, подключаемого к компьютеру через USB-разъем.
Копирование может быть полным или частичным. Полное копирование – это запись дампа на «офсетный пластик» — высококачественную копию банковской карты со всеми опознавательными знаками и степенями защиты. При частичном копировании данные записываются на «белый пластик», то есть пластиковую карточку с магнитной полосой и без каких-либо опознавательных знаков.

33

«Белый пластик» обычно изготавливается при наличии PIN-кода к соответствующему дампу и используется для обналичивания денег в банкомате. Чаще всего кардеры не занимаются снятием наличности сами, а нанимают для этого «дропов» — специальных персонажей, которых ловят в первую очередь.

«Офсетный пластик», похож на настоящую карту и может использоваться при покупках в магазине. Иногда данные карточки сочетаются с данными поддельного паспорта , и тогда злоумышленник может снимать деньги в банке без знания PIN-кода.

В Таиланде одним из самых безопасных и выгодных способов получения наличности по банковской карте является cash advance – снятие денег без комиссии в любом отделении крупного банка. Для этого вам нужно иметь при себе загранпаспорт и стандартную банковскую расчетную карту. Минимальная сумма снятия – 3000 бат.

В изготовлении высококачественных дубликатов банковских расчетных карт больше всего преуспели китайцы.

11

Вот что пишет из мест лишения свободы белорусский мошенник и создатель кардерского форума DumpsMarket:

Хорошо, что (при обыске) не нашли «пластик» — под линолеумом в одной из комнат находилось около двухсот китайских болванок VISA и AmEx высшего качества… Самый лучший офсетный «пластик» — у китайских товарищей, благо Интернет стирает границы…

И далее:

Поскольку большинство иностранных посетителей DumpsMarket составляли китайцы, вполне логичным стало создание на форуме раздела на китайском языке. Черт его знает, что они там писали, но модератором китайского раздела я поставил человека, которому доверял, — Майкла Чунг Хо. Он и его жена Лам по прозвищу Конфетка (candy) стояли во главе транснациональной преступной группировки, использующей поддельные банковские карточки для шопинга по всему миру, и имели прямое отношение к триаде.

По роду деятельности мне приходилось много общаться с клиентами и партнерами из разных стран. Большинство из них были выходцами из Юго-Восточной Азии (Китай, Малайзия, Филиппины), и с ними никогда проблем не возникало.
У азиатов совершенно отличное от нашего мировоззрение, и такие понятия, как честь, долг, верность своему слову и порядочность, для них не пустой звук.

[Как я украл миллион. Исповедь раскаявшегося кардера. Спб. 2014]

7

В Восточной и Юго-Восточной Азии скимминг особенно популярен. При хорошо организованном скимминге к злоумышленникам попадают все данные карты, включая дамп и PIN-код, после чего изготовить дубликат карты не составляет большого труда, поскольку производство подделок поставлено в азиатском регионе «на поток».

Некоторые банки могут автоматически заблокировать вашу карту, если операция по ней будет произведена в Таиланде или любой другой стране восточно-азиатского региона. Прежде чем выезжать за границу на всякий случай предупредите служащих вашего банка. Во многих банках разблокировать карту можно по телефону, назвав ваше кодовое слово, поэтому лучше его помнить.

Особую осторожность при использовании банкоматов рекомендуется проявлять в Тайланде, Индии, Гонконге, Китае, Малайзии и вообще в туристических местах. В путешествиях надежнее всего использовать вышеупомянутый «cash advance», но если нет другой альтернативы, кроме банкоматов, то желательно выбрать банкомат под видеонаблюдением в каком-нибудь людном месте или рядом с отделением банка. При наборе PIN-кода на всякий случай прикрывайте клавиатуру рукой.

4

PIN-код может быть скомпрометирован несколькими способами. Мы уже знаем о накладке на клавиатуре банкомата или миниатюрной видеокамере. Иногда злоумышленники подсматривают PIN-код в процессе набора (см. «ливанская петля»). И, наконец, бывает такое, что кардхолдер сам сообщает свой номер идентификации кардерам (см. фишинг – англ. phishing).

Напомним еще раз, что если вы, находясь в Юго-Восточной Азии, вставляете карту в банкомат или расчитываетесь ею в точках оплаты, то вы рискуете здесь гораздо больше, чем в России. Поэтому, еще раз рекомендуем cash advance и наличные деньги. Удачи в путешествиях!

После шести месяцев проживания на Пхукете я совершил перелет в Катманду. Через какое-то время я обнаружил, что с моего счета исчезли все деньги. Список операций говорил о том, что наличность снимали с банкомата в течение нескольких часов в районе полуночи (чтобы иметь возможность получить двухдневной лимит), и транзакции проходили через вьетнамские банки. Это было очень кстати, поскольку я находился в это время на территории Непала, а, следовательно, факт мошенничества был налицо.
Я вернулся в Россию и подал два заявления. Одно – в банк, другое – в отдел экономических преступлений (оно могло пригодиться, если бы дело дошло до суда). После двухмесячного разбирательства банк вернул «все как было», но я до сих пор считаю, что мне здорово повезло.
Впрочем, согласно законодательству, ответственность за безопасность вашего счета лежит на банке. Крупные банки страхуют средства своих вкладчиков, и возврат денег при установленном факте мошенничества – это лишь вопрос времени.

Автор: Василий Лабецкий.